Seguridad Integral

Prácticas recomendadas con firewalls para bloquear el ransomware

Brenda Facundo


Posted in Seguridad Firewall Perimetral on Sep 17, 2020

El ransomware continúa asediando a las empresas: más de la mitad de las organizaciones encuestadas en 26 países distintos revelan que se han visto afectadas por el ransomware 
en el último año*. La complejidad de estos ataques no deja de aumentar, además de que se están volviendo más eficientes a la hora de explotar vulnerabilidades de sistemas y redes, lo que supone importantes costes de limpieza para las empresas: una desorbitada media global de 761 106 USD.

Los firewalls modernos son sumamente efectivos a la hora de proteger contra este tipo de ataques, pero es necesario darles la oportunidad de cumplir su función. En este blog te explicamos cómo funcionan estos ataques, cómo pueden detenerse y las prácticas recomendadas para configurar los firewalls y las redes a fin de contar con la mejor protección posible.

Cómo funciona un ataque de ransomware

El ataque de ransomware dirigido típico funciona del siguiente modo:

RDP - ¿Protocolo de escritorio remoto o protocolo de despliegue de ransomware?

El Protocolo de escritorio remoto (RDP) y otras herramientas de uso compartido del escritorio como Computación virtual en red (VNC) son funciones inocuas y sumamente útiles de la mayoría de sistemas operativos que permiten al personal acceder y gestionar sistemas de forma remota. Desafortunadamente, sin las medidas de protección adecuadas, también sirven como puertas de entrada ideales para los atacantes, por lo que suelen ser explotadas por el ransomware dirigido.

Si no protege el protocolo RDP y otros protocolos de gestión remota similares con una red privada virtual (VPN) o por lo menos limita las direcciones IP que pueden conectarse mediante herramientas remotas, puede estar dejando la puerta abierta de par en par a los atacantes. Estos utilizan a menudo herramientas de hacking por fuerza bruta que prueban cientos de miles de combinaciones de nombres de usuario y contraseñas hasta que dan con la correcta.

Cómo protegerse del ransomware

Para proteger adecuadamente su empresa del ransomware, hay tres principales iniciativas 
que debe tomar.

1. Actualice su seguridad TI

Su solución de seguridad para firewalls y endpoints puede impedir ya de entrada que los 
ataques accedan a la red, de modo que, si un ataque llega a penetrar en su red de alguna 
manera, impedirá que se propague e infecte otros sistemas. Pero no todas las soluciones 
de seguridad para firewalls y endpoints pueden hacer esto de forma efectiva, por lo que 
debe asegurarse de que cuenta con un sistema de seguridad TI que sí lo consiga.

Asegúrese de disponer de:

  • Espacios seguros asequibles para analizar el comportamiento de los archivos cuando se ejecutan antes de que lleguen a su red
  • La tecnología de Machine Learning más reciente para identificar las nuevas variantes de día cero en cualquier archivo que atraviese su firewall
  • IPS de firewall con actualización de firmas en tiempo real para bloquear exploits de red 
  • VPN de acceso remoto sencilla y gratuita para permitir la administración de su red de forma remota sin comprometer la seguridad
  • Protección para endpoints con funciones antiransomware


2. Bloquee el acceso y la administración remotos

En lo que a redes se refiere, cualquier apertura al mundo exterior es una posible vulnerabilidad esperando a ser explotada por un ataque de ransomware. Bloquear el acceso al Protocolo de escritorio remoto, los puertos abiertos y otros protocolos de administración de su empresa es una de las medidas más efectivas que puede tomar para protegerse contra los ataques de ransomware dirigido. Puede hacerlo de muchas formas. Un método popular es obligar a todos los usuarios a utilizar una VPN para poder acceder a recursos como el RDP y restringir el acceso a la VPN a direcciones IP conocidas. Asimismo, debe proteger y endurecer sus servidores, utilizar contraseñas complejas que se cambien con frecuencia y servirse de la autenticación multifactor. 

3. Segmente su red

Desafortunadamente, muchas empresas funcionan con una topología de red plana: todos 
sus endpoints se conectan a una matriz de conmutación común. Esta topología compromete 
la protección, ya que permite que los ataques se desplacen o propaguen lateralmente con 
facilidad dentro de la red local, puesto que el firewall no tiene visibilidad ni control sobre el 
tráfico que fluye a través del conmutador.

La práctica recomendada es segmentar la LAN en subredes más pequeñas utilizando zonas 
o redes VLAN y conectarlas después a través del firewall, a fin de permitir la aplicación de una 
protección IPS y antimalware entre los segmentos. Esto puede identificar y bloquear de forma 
efectiva las amenazas que intenten propagarse lateralmente en la red.

Se utilizan zonas o redes VLAN en función de la estrategia y el alcance de la segmentación de red, pero ambas ofrecen unas funciones de seguridad similares y la opción de aplicar una seguridad y un control adecuados sobre el movimiento de tráfico entre segmentos. Las zonas son ideales para estrategias de segmentación más pequeñas o redes con conmutadores no administrados. 

Las VLAN son el método preferido para segmentar redes internas en la mayoría de casos y ofrecen lo último en flexibilidad y escalabilidad. Si embargo, requieren el uso (y la configuración) de conmutadores de capa 3 administrados.

Si bien segmentar la red es una práctica recomendada, no hay una forma mejor que otra de hacerlo. Puede segmentar la red por tipo de usuario (interno, contratista, invitado), departamento (ventas, marketing, ingeniería), tipo de rol, dispositivo o servicio (VoIP, Wi-Fi, IoT, ordenadores, servidores) o cualquier combinación que resulte adecuada para la estructura de su red. Pero, por lo general, es conveniente segmentar las partes menos fiables y más vulnerables de la red del resto. También conviene dividir grandes redes en segmentos más pequeños, todo ello con el objetivo de reducir el riesgo de penetración y propagación de amenazas.

Cómo puede ayudar Sophos

Sophos ofrece la solución de seguridad TI definitiva para defenderse del ransomware más reciente. No solo obtiene la mejor protección en cada punto, sino que además disfruta de años de integración entre el firewall y el endpoint. Esto ofrece enormes ventajas en términos de visibilidad del estado de seguridad de la red, así como la capacidad de responder automáticamente a incidentes de seguridad. Conoce más de esta potente solución ¡Descarga tu prueba gratuita!


Déjanos un comentario: